Киберпреступность разрастается сегодня как эпидемия, причем основной целью хакеров все чаще становятся компании малого и среднего бизнеса. Злоумышленники используют их с целью расширения своей сети — при этом от атак не застрахован ни один сектор рынка. Небольшим компаниям кибербезопасность нужна и важна не меньше, чем крупным.
1. Популярные пароли – плохие пароли
2. Защитите каждую точку входа
3. Разделите свою сеть на сегменты
4. Определите политику, донесите до работников и контролируйте выполнение
5. Не забывайте о социальных сетях
7. Заботьтесь о сети так же, как о своем автомобиле
9. Не позволяйте всем быть администраторами
10. Определитесь с использованием личных устройств
Журнал Wall Street Journal недавно отметил, что небольшие компании часто оказываются просто неспособны полностью оправиться от кибератаки. Однако существует несколько несложных шагов, которые можно предпринять, чтобы обезопасить свой бизнес. В этой статье я описываю 10 методов обеспечения безопасной работы небольших компаний, которые позволят вам защитить свои компьютерные сети.
1. Популярные пароли – плохие пароли
Пароли — ваша первая линия защиты, первый рубеж вашей системы безопасности. Киберпреступники, пытающиеся взломать вашу сеть, начнут атаку с того, что будут перебирать наиболее распространенные пароли. Компания SplashData опубликовала 25 наиболее распространенных паролей — вы просто не поверите, какие среди них встречаются варианты!
Проследите за тем, чтобы ваши работники пользовались длинными (более 8 символов), сложными паролями, включающими символы в верхнем и в нижнем регистре, цифры и нетекстовые символы.
Таблица 1. 25 самых распространенных паролей (если у вас один из них, немедленно смените!)
1 password |
6 monkey |
11 iloveyou |
16 123123 |
21 jesus |
2 123456 |
7 letmein |
12 trustno1 |
17 welcome |
22 michael |
3 12345678 |
8 dragon |
13 1234567 |
18 shadow |
23 ninja |
4 abc123 |
9 111111 |
14 sunshine |
19 ashley |
24 mustang |
5 qwerty |
10 baseball |
15 master |
20 football |
25 password1 |
2. Защитите каждую точку входа
Киберпреступнику достаточно одной открытой двери для того, чтобы пробраться в вашу сеть. Представьте себе, что обеспечение безопасности вашей компьютерной сети — это примерно то же самое, что защита вашего собственного дома, в котором вы, уходя, запираете входную дверь, черный ход и окна на замки.
Представьте себе все способы, которыми можно войти в вашу сеть, а потом удостоверьтесь в том, что этими способами могут воспользоваться только авторизованные пользователи.
- Убедитесь, что на всех портативных компьютерах, смартфонах, планшетах и точках доступа WiFi установлены надежные пароли.
- Используйте межсетевые экраны и специальные устройства предотвращения угроз для того, чтобы обеспечить защищенный доступ в вашу сеть.
- Обеспечьте безопасность на конечных точках вашей сети (портативных и настольных компьютерах) при помощи защитного программного обеспечения — антивирусов, а также средств защиты от спама и фишинга.
- Защитите себя от самого распространенного метода атаки, запретив сотрудникам подсоединять к компьютерам неизвестные USB-устройства.
3. Разделите свою сеть на сегменты
Один из способов обезопасить сеть — это разделить ее на отдельные зоны и соответственно защитить каждую из них. Одна зона может использоваться только для критически важной работы, тогда как другая может быть гостевой, предназначенной для того, чтобы ваши клиенты могли выйти в интернет, не заходя в вашу рабочую сеть.
Сегментируйте сеть и установите более строгие стандарты безопасности там, где это требуется.
- Публично доступные веб-серверы не должны быть соединены с вашей внутренней сетью.
- Вы можете создать возможность гостевого доступа, но не предоставляйте гостям доступ к вашим рабочим ресурсам.
- Рассмотрите возможность разделения сети по принципу бизнес-функций (данные клиентов, финансы, рядовые сотрудники, и т.д.).
4. Определите политику, донесите до работников и контролируйте выполнение
У вас обязательно должна быть конкретная корпоративная политика в отношении компьютерной безопасности (у многих небольших компаний ее нет), и вам просто необходимо пользоваться устройствами предотвращения угроз на полную мощность. Специально уделите время тому, чтобы обдумать, какие приложения вы разрешите использовать в вашей сети, а какие не позволите запускать в ней. Разъясните сотрудникам, использование каких программ приемлемо в вашей корпоративной сети. Придайте политике официальный характер — а затем примените ее везде, где возможно. Отслеживайте нарушения и злоупотребления при использовании сети.
- Установите политику ответственного пользования сетью, включающую перечень разрешенных/запрещенных приложений и интернет-сайтов.
- Не позволяйте запускать рискованные приложения, такие как клиенты Bit Torrent или другие программы для обмена файлами, которые широко используются для распространения вредоносного ПО.
- Блокируйте TOR и другие программы для обеспечения анонимности, которые применяются для того, чтобы замаскировать нарушения правил или действия в обход систем безопасности.
- Разрабатывая политику безопасности, подумайте о социальных сетях.
5. Не забывайте о социальных сетях
Социальные сети — это золотая жила для кибермошенников, которые ищут возможности заполучить информацию о людях, позволяющую им более эффективно проводить атаки. Такие методы, как фишинг или целевое фишинг-мошенничество с использованием психологической атаки, начинаются неизменно со сбора личных данных о конкретных людях.
- Расскажите своим сотрудникам, почему они должны с осторожностью делиться информацией в социальных сетях, даже через свой собственный личный профиль.
- Проинформируйте их о том, что киберпреступники создают специальные подробные профили данных на сотрудников компаний для того, чтобы воспользоваться ими для успешного целевого фишинга.
- Разъясните работникам, как правильно установить настройки безопасности их профилей в социальных сетях для того, чтобы максимально защитить их личную информацию.
- Пользователи должны взвешенно подходить к тому, какой информацией они собираются делиться в социальных сетях, имея в виду, что киберпреступники могут с ее помощью угадать ответы на вопросы систем безопасности (например, имя их собаки), назначить собственный пароль и получить доступ к их профилю.
6. Шифруйте все
Даже одно проникновение в базы данных может быть разрушительным для вашей компании или ее репутации. Защитите свои данные при помощи шифрования наиболее конфиденциальных данных. Также дайте сотрудникам несложные инструменты для шифрования.
Проследите за тем, чтобы шифрование данных стало обязательной частью вашей корпоративной политики безопасности.
- Не переживайте лишний раз, если портативные компьютеры будут утеряны или украдены — проследите, чтобы на всех ноутбуках вашей фирмы установлено предзагрузочное шифрование.
- Приобретите жесткие диски и устройства USB со встроенным шифрованием.
- Используйте надежное шифрование в беспроводной сети (например, WPA2 с шифрованием AES).
- Защитите конфиденциальные данные от случайных глаз и ушей, зашифровав беспроводную связь при помощи виртуальных сетей VPN (Virtual Private Network).
7. Заботьтесь о сети так же, как о своем автомобиле
Ваша сеть и все ее взаимосвязанные компоненты должны работать четко, как хорошо смазанный маслом механизм машины. Регулярное обслуживание позволит гарантировать, что она будет максимально эффективно функционировать без сбоев, не наталкиваясь на препятствия.
- Следите за тем, чтобы на портативных компьютерах и серверах были установлены последние версии операционных систем (включите в Windows Update опцию «Все системы»).
- Деинсталлируйте программное обеспечение, которым никто не пользуется, чтобы не проверять регулярные обновления (например, Java).
- Обновляйте браузеры, модули Flash, Adobe и другие приложения на серверах и переносных компьютерах.
- Везде, где возможно, включите автоматические обновления: Windows, Chrome, Firefox, Adobe и т.д.
- Для того, чтобы не допустить атак на необновленные компьютеры, используйте простые и экономичные UTM-устройства (Unified Threat Management — унифицированное управление угрозами) — специальные решения для СМБ-сегмента, объединяющие в одной аппаратной системе целый комплекс функций ИТ-безопасности (межсетевого экрана, системы обнаружения и предотвращения вторжений, антивирусного шлюза и т.д.)
8. Осторожнее с облаками
Хранение данных в облачных сервисах, а также облачные приложения сейчас очень популярны. Однако будьте осторожны. Любые данные, перенесенные в облако, выходят из-под вашего контроля. А киберпреступники активно пользуются тем, что у некоторых провайдеров облачных сервисов слабые системы защиты.
- Используя облачные сервисы, имейте в виду, что пересылка данных в облако автоматически лишает их конфиденциальности.
- Зашифруйте данные перед отправкой (включая резервные копии системы).
- Проверьте, насколько серьезна система безопасности вашего провайдера облачных услуг.
- Не используйте везде один и тот же пароль, особенно в облаке.
9. Не позволяйте всем быть администраторами
На корпоративных устройствах могут быть установлены профили как для пользователей, так и для администраторов. Профиль администратора дает значительно более широкие полномочия в работе с портативным компьютером, но в случае взлома все эти полномочия перейдут к хакеру.
- Не позволяйте работникам пользоваться профилями администраторов в Windows для повседневной работы.
- Правило о том, что рядовым сотрудникам следует пользоваться только пользовательскими профилями, сократит вероятность того, что при помощи вредоносного ПО вам смогут нанести действительно серьезный вред. А вот в привилегированном профиле администратора это будет вполне возможно.
- Заведите привычку менять встроенные пароли на всех устройствах, включая портативные компьютеры, серверы, роутеры, точки доступа и сетевые принтеры.
10. Определитесь с использованием личных устройств
Начните с того, чтобы разработать политику в отношении BYOD (Bring Your Own Device) —использование сотрудниками в корпоративной среде своих личных устройств. Многие компании старательно избегают данной темы, но это опасная тенденция. Не уходите от этого вопроса — он чрезвычайно важен. Здесь также необходима разъяснительная работа с сотрудниками.
- Рассмотрите возможность позволить только гостевой доступ (только интернет) с личных устройств ваших сотрудников.
- Обяжите работников пользоваться надежными паролями на их устройствах.
- Обеспечьте доступ к конфиденциальной информации только через зашифрованные VPN-сети.
- Не позволяйте переносить или хранить конфиденциальную информацию на личных устройствах (включая такие сведения, как контактная информация клиентов или данные кредитных карт).
- Подготовьте план на тот случай, если сотрудник потеряет устройство.